前言：尋找寫作靈感？中文期刊網用心挑選的石油銷售系統信息安全論文，希望能為您的閱讀和創作帶來靈感，歡迎大家閱讀并分享。

一、石油銷售系統的信息安全管理現狀

1.銷售系統設施建設。

硬件方面，各石油銷售企業都具有設施完善的中心計算機系統，供電采用UPS方式，采用“雙機熱備”的核心服務器工作模式，以確保整個硬件的可靠性和安全性；網絡方面，采用SDH光纖接入廣域網，包括接入層、匯聚層、核心層。核心層中路由器和交換機采用雙機模式，設備之間，層層之間以光纖方式連接，以均衡網絡負載。除了安裝必備的防火墻，部分企業為進一步提高安全防范能力還安裝了外網入侵檢測系統；大多數加油站采用SSLVPN方式訪問企業內部網，以保證網絡接入的安全性。在PC系統方面，大多數企業統一安裝了企業版的病毒防護軟件系統和桌面安全網絡接入系統，實現PC機的MAC地址綁定。

2.銷售系統信息化建設。

目前，企業的銷售信息系統主要包括：加油卡系統、辦公自動化系統、加油站零售管理系統、企業門戶網站、ERP系統等。信息系統具有如下特點：一是用戶眾多，幾乎所有企業管理人員都是各系統用戶；二是應用領域廣，涉及企業經營、管理、對外服務諸多方面；三是要求連續運轉，如ERP系統必須滿足7×24小時運轉。由于信息系統的安全運轉不僅關系到企業經營管理的可持續性，其數據的安全性和保密性更關系到廣大客戶的利益。所以，基于上述的原因，企業對銷售信息系統的安全運轉提出了更高的要求。

3.銷售系統的信息安全現狀。

石油銷售管理系統是關系國家安全、經濟命脈、社會穩定的重要信息系統，國家對其信息安全高度重視，并在《2006-2020年國家信息化發展戰略》中強調，我國要全面加強國家信息安全保障體系的建設，大力增強國家信息安全保障能力，實現信息化建設與信息安全保障的協調發展。同時，國內石油銷售企業也長期重視信息安全工作，逐步建立了相應的保障體系和規章制度，但還存在以下問題：

（1）范圍涉及廣泛。

石油銷售企業分支機構多，終端運營組織龐大且分散，以中石油集團為例，其截至2013年分布在全國的加油站已超過30000座。在如此龐大的銷售系統中，信息網絡承載著指導業務運行的重要功能。大量、分散部署的加油終端，必然會造成聯網方式的多樣化、網絡環境的復雜化。

（2）設備系統眾多。

石油銷售企業信息化管理系統中所涉及的設備精度髙、技術要求深，并且范圍廣泛，包括加油站、油庫等大量的自動化控制系統。因此，業務管理流程復雜，安全風險增大。

（3）人員素質不齊。

由于石油銷售屬于傳統行業，因此企業人員年齡跨度較大，對信息安全管理的職業組織參差不齊；甚至對于企業管理人員，對于信息安全的認識也多停留在紙上談兵；基層人員眾多，且直接面對客戶，流動性大，信息泄露風險極高。而且新生代的企業員工對計算機和網絡接觸早，應用水平高，日常使用頻繁，在缺乏網絡安全防護意識的情況下更易導致信息泄漏，甚至在好奇心理的鼓動下主動發起網絡攻擊行為，所以企業內網安全也成為一個突出的問題。

（4）資金投入有限。

國外企業在信息安全方面的資金投入達到了企業整體基建的5%-20%，而我國企業基本都在2%以下。全世界每年因信息安全方面的漏洞導致的經濟損失達數萬億美元，中國的損失也達到了一百億美元以上，但是中國企業在這方面的投資只有幾十億美元。因此，我國企業整體信息化安全建設預算不足。石油企業信息化工程是一項繁重的任務，需要在信息安全方面有更大的投入。大型油企需要建立復雜龐大的數據庫備份體系，建立并維護高效的網絡殺毒系統、企業級防火墻、IDS、IPS系統和完善的補丁更新及發放機制，以保證企業各方面的數據安全。建立這一復雜的系統需要大量的資金投入，而且其投入回報慢，因此石油企業普遍輕視這方面的投入和維護，信息安全建設相對于企業的發展整體滯后。

二、石油銷售系統的信息安全管理系統設計

石油銷售系統的信息安全管理系統是一個程序化、系統化、文件化的管理體系，以預防控制為主，強調動態全過程控制。建立相應的信息安全管理系統，需要從物理、信息、網絡、系統、管理等多方面保證整體安全；建立綜合防范機制，確保銷售信息安全以及加油卡、EPR等電子銷售系統的可靠運行，保障整體信息網絡的安全、高效、可靠運轉，規避潛在風險，供系統的可靠性和安全性。因此，石油銷售系統的信息安全管理系統構架分為以下組成：

（1）組織層面。

石油銷售部門應建立責任明確的各級信息安全管理組織，包括信息安全委員會、信息安全管理部門，并通過設立信息安全員，指定專人專項負責。通過這些部門和負責人開展信息安全認知宣傳和培訓，提高企業員工對信息安全重要性的認識。

（2）制度層面。

制定安全方針、安全管理制度、安全操作規程和突發事件應急預案等一系列章程，經科學性審核和測試后下發各級部門，提升企業的信息安全管理的效能，減少事故發生風險，提高應急響應能力。

（3）執行層面。

信息安全管理部門應當定期檢查和隨機抽查相結合，監督安全制度在各級部門的執行情況，評估安全風險，負責PDCA的循環控制。

（4）技術層面。

信息安全管理部門要提供安全管理、防護、控制所需的技術支持，全面保障企業整體信息安全管理系統建設。通常信息安全技術分為物理安全、網絡安全、主機安全、終端安全、數據安全以及應用安全等六個方面，主要包括監控與審核跟蹤，數據備份與恢復，訪問管理與身份認證，信息加密與加固等具體技術措施。通過有效的信息安全管理平臺和運作平臺，在最短時間內對信息安全事件進行響應處理，保障信息安全管控措施的落實，實現信息安全管理的目標。

三、結語

總而言之，建立信息安全管理體系，保障信息安全是目前石油銷售中的重要環節，要在戰略上側重管理，在戰術上側重技術，保持信息安全管理體系能夠有效長久運行。

作者：杜煒 單位：西安石油大學經濟管理學院 陜西延長石油集團研究院